美國網(wǎng)絡(luò)空間攻擊與主動(dòng)防御能力解析
——美國網(wǎng)絡(luò)空間的能力演進(jìn)

◎安天研究院

在之前的文章中，我們分別展開介紹了美國大型信號(hào)情報(bào)獲取項(xiàng)目，網(wǎng)空積極防御體系，網(wǎng)空進(jìn)攻支撐體系以及包括用于突破物理隔離、持久化控制、漏洞利用、命令與控制和利用無線信號(hào)的網(wǎng)絡(luò)空間攻擊裝備體系，全面解析了美國在網(wǎng)絡(luò)空間的攻擊與積極防御能力。在本期中，我們將對(duì)美國網(wǎng)絡(luò)空間攻擊與積極防御能力的演進(jìn)進(jìn)行分析，展現(xiàn)其未來發(fā)展的趨勢(shì)。

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展、網(wǎng)絡(luò)場(chǎng)景的不斷變化，美國在網(wǎng)絡(luò)空間中的進(jìn)攻與積極防御能力也會(huì)不斷演進(jìn)。為了應(yīng)對(duì)未來可能出現(xiàn)的新威脅，必須對(duì)美國未來網(wǎng)絡(luò)空間的能力演進(jìn)進(jìn)行研究，分析可能出現(xiàn)的新變化、新趨勢(shì)，對(duì)未來的敵情進(jìn)行合理的推測(cè)，以此建立有效的敵情想定，在此基礎(chǔ)上發(fā)現(xiàn)我方防御能力的不足，指導(dǎo)我方網(wǎng)絡(luò)空間防御體系的不斷完善。未來美國網(wǎng)絡(luò)空間的能力演進(jìn)主要表現(xiàn)在戰(zhàn)略思想、網(wǎng)絡(luò)空間防御能力、網(wǎng)絡(luò)空間進(jìn)攻能力等幾個(gè)方面。

一、戰(zhàn)略思想上的轉(zhuǎn)變

2018年9月，特朗普政府發(fā)布了《國家網(wǎng)絡(luò)戰(zhàn)略》，這是繼小布什政府的《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》（2003年）后，15年來美國公布的首項(xiàng)內(nèi)容全面的網(wǎng)絡(luò)戰(zhàn)略。該戰(zhàn)略強(qiáng)調(diào)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)、與私營企業(yè)合作、保護(hù)政府網(wǎng)絡(luò)以及建立更強(qiáng)大的合作伙伴關(guān)系以共享威脅情報(bào)信息。與以往類似政策不同的是，《國家網(wǎng)絡(luò)戰(zhàn)略》展現(xiàn)了美國政府在應(yīng)對(duì)網(wǎng)絡(luò)空間對(duì)手方式上的轉(zhuǎn)變，稱為達(dá)成有效威懾，要讓網(wǎng)絡(luò)惡意行為體承受“反應(yīng)快速、代價(jià)巨大、清晰可見的后果”。可以看出，特朗普政府計(jì)劃加強(qiáng)進(jìn)攻性網(wǎng)絡(luò)行動(dòng)，通過先發(fā)制人的網(wǎng)絡(luò)攻擊威懾對(duì)手。

同月，美國國防部發(fā)布了《2018國防部網(wǎng)絡(luò)戰(zhàn)略》，該戰(zhàn)略概述了一項(xiàng)軍方如何處理網(wǎng)絡(luò)安全的更為詳細(xì)的計(jì)劃，即以“防御前置”的方式從源頭上破壞或制止惡意網(wǎng)絡(luò)活動(dòng)。所謂“防御前置”，實(shí)際上是強(qiáng)調(diào)網(wǎng)絡(luò)進(jìn)攻。幾乎在同一時(shí)間，美國國家安全總統(tǒng)備忘錄13（NSPM 13）提出，美國總統(tǒng)可以將某些網(wǎng)絡(luò)權(quán)限授予國防部長執(zhí)行特定任務(wù)，以加速網(wǎng)絡(luò)行動(dòng)。NSPM 13在很大程度上消除了奧巴馬政府實(shí)施的長時(shí)間的機(jī)構(gòu)間審批程序，使得軍方更容易發(fā)起進(jìn)攻性網(wǎng)絡(luò)行動(dòng)。

美國政府和軍方的一系列動(dòng)作，代表著美國網(wǎng)絡(luò)安全從防御到攻擊態(tài)勢(shì)的危險(xiǎn)轉(zhuǎn)變，增加進(jìn)攻性網(wǎng)絡(luò)行動(dòng)的做法可能會(huì)加劇網(wǎng)絡(luò)沖突。一方面，快速的網(wǎng)絡(luò)行動(dòng)意味著沒有足夠的時(shí)間留給政府針對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行追蹤溯源，很有可能使美國攻擊錯(cuò)誤的目標(biāo)；另一方面，“進(jìn)攻是最好的防御”這一觀點(diǎn)在網(wǎng)絡(luò)空間中不能成立，先發(fā)制人的網(wǎng)絡(luò)攻擊并不能形成針對(duì)對(duì)手的有效威懾能力。

二、網(wǎng)絡(luò)空間防御能力持續(xù)提升

在網(wǎng)絡(luò)空間防御方面，美國建設(shè)了國防部積極防御系統(tǒng)“監(jiān)護(hù)”（Tutelage），并將相關(guān)技術(shù)應(yīng)用到了旨在保障聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)安全的“愛因斯坦”計(jì)劃中。在不斷建設(shè)和演進(jìn)過程中，正在形成一套具有完備有效的感知能力、積極防御及反制能力的國家網(wǎng)絡(luò)空間安全防御體系。

應(yīng)對(duì)外部威脅方面，在原有防御體系基礎(chǔ)上，美國安全部門也投入了大量的人力、資金設(shè)立新的研究計(jì)劃和項(xiàng)目，以應(yīng)對(duì)網(wǎng)絡(luò)空間中的各類威脅。NSA的“零日網(wǎng)絡(luò)防御計(jì)劃”（Sharkseer），旨在利用商用成品（COTS）快速檢測(cè)和緩解基于Web的惡意軟件、零日漏洞和高級(jí)持續(xù)性威脅，并實(shí)現(xiàn)不同密級(jí)間的情報(bào)數(shù)據(jù)實(shí)時(shí)共享。此外，美國陸軍正在測(cè)試欺騙性的網(wǎng)絡(luò)防御技術(shù)——網(wǎng)絡(luò)空間欺騙能力，該技術(shù)旨在誘騙攻擊者讓其誤認(rèn)為已經(jīng)攻破計(jì)算機(jī)網(wǎng)絡(luò)，可用于提供預(yù)警、虛假信息、混淆、延遲或其他方式阻止網(wǎng)絡(luò)攻擊者。在需要時(shí)，該技術(shù)還能通過欺騙攻擊者，誘導(dǎo)出更多情報(bào)，進(jìn)而驅(qū)動(dòng)反擊行動(dòng)。

另一方面，長期以來以斯諾登為代表的各類泄密事件，給美國政府造成了巨大的損失。因此，美國情報(bào)機(jī)構(gòu)高度重視內(nèi)部威脅，并通過各種舉措應(yīng)對(duì)內(nèi)部威脅。早期，在“7號(hào)軍火庫”（Vault 7）中有一款名為“涂鴉”（Scribbles）的CIA網(wǎng)空裝備，Scribbles是一款用于將網(wǎng)絡(luò)信標(biāo)標(biāo)簽嵌入機(jī)密文檔的軟件，即在Office文檔內(nèi)部嵌入一個(gè)透明水印圖片組件，用于追蹤可能被內(nèi)部人員、舉報(bào)者、記者或其他人員復(fù)制的文檔，以便監(jiān)控機(jī)構(gòu)追蹤泄密者和外國間諜。Scribbles的最新版本于2016年3月1日發(fā)布，在Office97至2016版本上通過測(cè)試，標(biāo)記授權(quán)日期直至2066年。此外，在情報(bào)共享中，美國國家情報(bào)總監(jiān)辦公室（ODNI）選擇可信數(shù)據(jù)格式（TDF），采用基于屬性的訪問控制，既可以指明接收者的身份及業(yè)務(wù)信息，也可以指明允許處理數(shù)據(jù)的終端或環(huán)境特性，以此保障安全受控的共享。

三、網(wǎng)絡(luò)空間進(jìn)攻能力不斷加強(qiáng)

通過之前對(duì)國家安全局（NSA）和中央情報(bào)局（CIA）的網(wǎng)絡(luò)空間裝備體系的梳理和分析，我們?cè)谝欢ǔ潭壬狭私饬嗣婪骄W(wǎng)絡(luò)空間裝備庫全平臺(tái)、全功能的特點(diǎn)?！?018國防部網(wǎng)絡(luò)戰(zhàn)略》中，將“加速網(wǎng)絡(luò)能力開發(fā)”作為實(shí)現(xiàn)“建立更具殺傷力的聯(lián)合部隊(duì)”這一目標(biāo)的重要舉措。未來美方會(huì)不斷豐富自己的網(wǎng)絡(luò)攻擊裝備體系，并向覆蓋更廣泛、能力更全面的方向不斷演進(jìn)。

在漏洞挖掘、收集和利用方面，美方的優(yōu)勢(shì)能力無論是在“震網(wǎng)”（Stuxnet）還是“魔窟”（WannaCry）事件中都得到了很好的證明?！罢鹁W(wǎng)”事件中，美方使用了5個(gè)Windows零日漏洞和1個(gè)西門子的零日漏洞，以一種看似近乎揮霍實(shí)則精妙組合利用零日漏洞的方式，實(shí)現(xiàn)了通過網(wǎng)絡(luò)空間作業(yè)對(duì)伊朗核設(shè)施造成物理破壞的效果，幾乎永久地遲滯了伊朗核計(jì)劃，達(dá)成了美方的戰(zhàn)略意圖。2017年5月全球爆發(fā)大規(guī)模的“魔窟”感染事件，只是利用了NSA泄露的眾多漏洞之一，就引發(fā)了席卷全球的勒索病毒感染事件，美方的漏洞儲(chǔ)備能力可見一斑。未來美方將會(huì)持續(xù)加強(qiáng)其在漏洞挖掘和儲(chǔ)備上的優(yōu)勢(shì)能力，并且不排除美方存在利用其在供應(yīng)鏈上的優(yōu)勢(shì)，向設(shè)備中埋入漏洞的可能。類似地，在持久化控制、突破物理隔離、命令與控制等方面，美方將在目標(biāo)覆蓋范圍、全面性、隱蔽性等方面持續(xù)提升，繼續(xù)保持優(yōu)勢(shì)能力。

除了不斷加強(qiáng)已有的攻擊能力外，隨著各種新設(shè)備的出現(xiàn)和新技術(shù)的逐漸成熟，新的攻擊手段將會(huì)逐漸從研究進(jìn)入實(shí)用。在Black Hat 2018上，研究人員展示了利用傳真機(jī)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行滲透的實(shí)例，只需掌握傳真機(jī)的電話號(hào)碼，就能對(duì)傳真機(jī)進(jìn)行攻擊，并以其作為跳板，侵入內(nèi)網(wǎng)。類似地，未來的演進(jìn)趨勢(shì)還包括：針對(duì)各類IoT設(shè)備，包括智能手表、音響、耳機(jī)、眼鏡、攝像頭，甚至汽車等的攻擊將更加普遍；利用聲、光、電、熱、電磁波等建立信道，實(shí)現(xiàn)隱蔽通信的技術(shù)可能會(huì)逐漸成熟，被更多地應(yīng)用在攻擊行動(dòng)中；通過無人機(jī)抵近目標(biāo)，進(jìn)行偵察、入侵、控制、竊取的作業(yè)方式可能逐漸增多等。

面對(duì)這些變化，應(yīng)該如何完善我方的防御能力，以應(yīng)對(duì)可能的挑戰(zhàn)呢？首先應(yīng)基于敵情的演進(jìn)建立敵情想定，將高能力對(duì)手的敵情存在作為基本假設(shè)，包括內(nèi)網(wǎng)已經(jīng)被滲透、任何內(nèi)網(wǎng)設(shè)備都可能被攻陷、我方人員已經(jīng)被敵方策反、供應(yīng)鏈已被敵方滲透、敵方有能力劫持我方設(shè)備采購的物流鏈等，以極限化的敵情想定驅(qū)動(dòng)防御能力的演進(jìn)。

在具體的網(wǎng)空防御體系建設(shè)中，需要強(qiáng)化已有靜態(tài)的防御機(jī)制實(shí)現(xiàn)兼顧“結(jié)合面”與“覆蓋面”的綜合防御能力體系。將網(wǎng)絡(luò)安全防御能力與物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個(gè)層級(jí)深度結(jié)合，在信息化環(huán)境各層級(jí)結(jié)合網(wǎng)絡(luò)安全防御能力，使防御能力與實(shí)際情況緊密結(jié)合；將網(wǎng)絡(luò)安全防御能力部署到信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的“每一個(gè)角落”，力求最大化覆蓋構(gòu)成網(wǎng)絡(luò)的各個(gè)組成實(shí)體，避免由于在局部的安全盲區(qū)或者安全短板而導(dǎo)致整個(gè)網(wǎng)絡(luò)安全防御體系的失效。同時(shí)還必須加快建設(shè)動(dòng)態(tài)防御能力體系，其中關(guān)鍵是針對(duì)網(wǎng)絡(luò)空間時(shí)代的高水平復(fù)雜威脅行為展開協(xié)同響應(yīng)對(duì)抗的積極防御能力。最終實(shí)現(xiàn)構(gòu)建具有與網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施“深度結(jié)合、全面覆蓋”的綜合防御特點(diǎn)、強(qiáng)調(diào)“掌握敵情、協(xié)同響應(yīng)”的動(dòng)態(tài)防御特點(diǎn)的網(wǎng)絡(luò)空間防御體系。

在下一期的文章中，我們將對(duì)美國網(wǎng)絡(luò)空間攻擊與積極防御能力進(jìn)行總結(jié)，并對(duì)如何進(jìn)行系統(tǒng)的應(yīng)對(duì)提出建議，敬請(qǐng)期待。